Il pericolo è dovuto al fatto che, abilitando i permessi all'interprete PHP (cioè all'utente con cui gira Apache/IIS) di "girovagare" fuori dalla document root, ti scotti nel caso in cui il tuo programma venga bucato da un attaccante.

Se non è ingabbiato, il danno può propagarsi a macchia d'olio, specie su Win -- non per sua intrinseca natura, ma per il fatto che generalmente è mal configurato.